Defaults.Exposed › Oplossingen › DNSSEC

Hoe je DNSSEC oplost

DNSSEC is een digitaal zegel op het adresboek van uw domein. Het laat het internet bewijzen dat het antwoord op „waar woont dit domein?” echt van u kwam en onderweg niet is geknoeid. Zonder haar kan het antwoord vervalst worden — en uw bezoekers stilletjes ergens anders heen gestuurd.

De kern voor je bedrijf: Zonder DNSSEC kan een aanvaller die een DNS-antwoord kan vergiftigen uw klanten naar een perfecte kopie van uw site wijzen terwijl hun browser nog steeds uw echte domeinnaam toont. Inloggegevens, kaartnummers en persoonsgegevens worden geoogst, en u komt er pas achter via de terugboekingen en klachten. Een kapotte, halfafgemaakte DNSSEC-opzet is nog erger: ze kan uw site onbereikbaar maken voor een groeiend deel van uw bezoekers zonder enige fout die u ooit zou opmerken.

Wat dit je kan kosten

• Bezoekers die uw echte domein typen worden stilletjes omgeleid naar een look-alike die hun wachtwoord en kaartgegevens vastlegt — en omdat de adresbalk de hele tijd uw domein toont, vermoedt niemand iets tot de fraudemeldingen binnenkomen.
• Uw e-mail wordt stilletjes omgeleid: een aanvaller vervalst het antwoord voor uw mailservers, leest of onderschept berichten, en reset wachtwoorden op accounts die u een code mailen — allemaal zonder uw inbox aan te raken.
• Een half-geconfigureerde DNSSEC-opzet (het publieke zegel bestaat maar de bijpassende sleutel ontbreekt) laat uw website en e-mail willekeurig falen voor klanten bij grote internetproviders en bedrijfsnetwerken — sporadische „uw site is plat voor mij”-meldingen die u niet kunt reproduceren.
• Het securityteam van een prospect doet een controle vóór het contract, ziet geen DNSSEC, en zet u lager als zwak op de fundamenten — waarmee een deal in gevaar komt over een gratis instelling.
• Publieke sector en grotere B2B-kopers verwachten DNSSEC steeds vaker als basis (het wordt genoemd in regelgeving zoals NIS2); de afwezigheid diskwalificeert u stilletjes voor aanbestedingen nog voor er een gesprek begint.

Waarom het ertoe doet. DNS is het adresboek van het internet, en standaard reizen zijn antwoorden ongetekend — iedereen die een vervalst antwoord kan binnenglippen kan uw klanten en uw e-mail sturen waar hij maar wil, met uw echte domein nog in de browser. DNSSEC zet een fraudebestendig zegel op die antwoorden zodat ze als echt van u te verifiëren zijn. De oplossing is gratis bij de meeste providers; de enige echte kost is het verkeerd doen, en daarom lopen we beide helften zorgvuldig door.

DNSSEC, in gewone woorden

Telkens als iemand uw website bezoekt of u een e-mail stuurt, stelt zijn computer het internet eerst een simpele vraag: „waar woont dit domein eigenlijk?” Het antwoord — de set adressen voor uw site en uw mailservers — komt terug van de DNS, het adresboek van het internet.

Hier het ongemakkelijke deel: standaard reizen die antwoorden ongetekend. Er is niets aan toegevoegd om te bewijzen dat het antwoord echt is. Als iemand een vervalst antwoord in dat gesprek kan binnenglippen — en er zijn bekende, bewezen manieren om precies dat te doen — zal de computer van uw bezoeker het gewillig aanvaarden. Vanaf dat moment kan de bezoeker praten met de server van een aanvaller terwijl zijn browser nog steeds uw domeinnaam in de adresbalk toont.

DNSSEC is de oplossing. Het voegt een fraudebestendig digitaal zegel toe aan uw DNS-antwoorden. Met DNSSEC aan kan het internet wiskundig verifiëren dat een antwoord echt van u kwam en onderweg niet is gewijzigd. Een vervalst antwoord faalt de controle en wordt weggegooid. Het is het verschil tussen een adresboek waar iedereen in kan krabbelen en een waar elke vermelding is ondertekend en getuigd.

Deze pagina behandelt de twee delen waar onze check samen naar kijkt: of het zegel is gepubliceerd (het DS-record) en of de bijpassende sleutel erachter werkelijk bestaat (het DNSKEY-record). U ziet zo waarom beide ertoe doen — want de een zonder de ander hebben is zijn eigen soort ellende.

Wat dit u kan kosten

Dit zijn realistische, geaggregeerde patronen — geen enkel genoemd bedrijf.

• De onzichtbare omleiding. Een aanvaller vergiftigt het DNS-antwoord voor uw domein. Klanten typen uw echte webadres, zien uw echte domein in de balk, en belanden op een vlekkeloze kopie van uw inlog- of afrekenpagina, gehost door de aanvaller. Elk wachtwoord en kaartnummer dat ze invoeren gaat rechtstreeks naar de crimineel. U hoort er pas van wanneer de terugboekingen en „ik ben via uw site gehackt”-telefoontjes beginnen — en het spoor leidt terug naar uw merk, niet dat van de aanvaller.
• Stille e-mailonderschepping. DNS wijst niet alleen naar uw website; het wijst naar uw mailservers. Vervals dat antwoord en inkomende e-mail kan eerst via een aanvaller worden omgeleid. Die leest gevoelige berichten, oogst de eenmalige codes die diensten mailen om „te verifiëren dat u het bent”, en reset wachtwoorden op accounts gekoppeld aan uw domein — zonder ooit in uw mailbox in te loggen.
• De storing die u niet kunt reproduceren. Deze komt van een halfafgemaakte DNSSEC-opzet. Het publieke zegel (DS) zit bij uw registrar, maar de bijpassende sleutel (DNSKEY) ontbreekt of klopt niet. Bezoekers bij internetproviders en bedrijfsnetwerken die DNSSEC controleren — en dat worden er elk jaar meer — kunnen uw domein simpelweg helemaal niet bereiken. Uw site en e-mail werken prima voor u en uw technicus, maar een deel van uw echte klanten krijgt „deze site is niet bereikbaar” zonder zichtbare fout. Het is een van de moeilijkst te diagnosticeren problemen, juist omdat het van binnenuit onzichtbaar is.
• De verloren deal. Het security- of inkoopteam van een prospect doet een routinescan van uw domein vóór het contract. Geen DNSSEC verschijnt als een rode markering op „DNS-securitybasis”. Voor een gratis, goed begrepen besturing leest de afwezigheid als slordigheid — en het kan u stilletjes een contract kosten waarvan u nooit wist dat het op het spel stond.
• De aanbesteding waar u niet eens voor kwalificeert. Regelgeving en koperschecklists noemen DNSSEC steeds vaker als verwachte basishygiëne (het wordt genoemd onder de DNS-securitybepalingen van NIS2). Grotere B2B- en publieke-sectorkopers filteren u mogelijk uit nog voor een verkoopgesprek begint, simpelweg omdat het vakje niet is aangevinkt.

Wat het feitelijk is

DNSSEC werkt als een vertrouwensketen, en heeft twee bewegende delen die het met elkaar eens moeten zijn. Dit is de kern van waarom onze check naar twee dingen kijkt.

De DNSKEY — uw sleutel. Uw DNS-provider houdt een cryptografische sleutel en gebruikt die om uw DNS-records te ondertekenen. De publieke helft van die sleutel wordt gepubliceerd als een DNSKEY-record. Zie het als de zegelstempel aan uw kant.

Het DS-record — de vingerafdruk die instaat voor de sleutel. Een korte vingerafdruk van die sleutel, een DS-record (Delegation Signer) genaamd, wordt één niveau hoger gepubliceerd — bij het register van uw domein, via uw registrar. Dit is wat de rest van het internet in staat stelt uw sleutel te vertrouwen: elk niveau staat in voor het niveau eronder, helemaal tot de root van het internet. De DS is het zegel dat officieel wordt geregistreerd zodat iedereen anders het kan herkennen.

Om DNSSEC u werkelijk te beschermen, moeten beide aanwezig zijn en overeenkomen:

• DS aanwezig + DNSKEY aanwezig en overeenkomend → goed. De vertrouwensketen is compleet. Vervalste antwoorden worden geweigerd; legitieme verifiëren. Dit is de „geslaagd”-toestand.
• Geen DS (en geen DNSKEY) → DNSSEC staat simpelweg niet aan. U heeft geen bescherming, maar niets is kapot. Dit is de meest voorkomende „nog niet gedaan”-toestand. (In onze scoring telt dit hier tegen u bij de DS-check; de gecombineerde-sleutelcheck behandelt een schone, volledig „uit”-toestand als informatief in plaats van een harde fout, omdat er niets actief breekt.)
• DS aanwezig, maar DNSKEY ontbreekt of komt niet overeen → kapot, en erger dan uit. Het internet ziet een gepubliceerd zegel dat wijst naar een sleutel die er niet is. Validerende resolvers concluderen dat met uw domein is geknoeid en weigeren het te resolven — wat de sporadische storingen hierboven veroorzaakt. Dit is de meest urgente toestand om te verhelpen, en onze check markeert het als hoge ernst.
• DNSKEY aanwezig, maar geen DS bij de registrar → aangezet maar niet geactiveerd. Uw records zijn ondertekend, maar omdat de vingerafdruk nooit een niveau hoger werd geregistreerd, heeft de rest van het internet geen manier om ze te vertrouwen. U doet het werk zonder de bescherming. De oplossing is het DS-record bij uw registrar toevoegen.

Hoe „goed” eruitziet, in één regel: een DS-record bij uw registrar waarvan de vingerafdruk overeenkomt met een levende DNSKEY bij uw DNS-provider, beide bevestigd met een snelle opzoeking.

Hoe los je het op (gratis, ~10–30 minuten)

Geef dit onderdeel aan wie uw domein of website beheert. De oplossing zelf is gratis bij de meeste providers — de enige kost is het zorgvuldig doen zodat de twee helften synchroon blijven. We rekenen alleen iets als u later wilt dat we monitoren dat het correct aan blijft staan.

De gouden regel: zet ondertekening eerst aan (wat de DNSKEY aanmaakt), publiceer dan het DS-record bij de registrar — nooit andersom, en nooit de een zonder de ander. Een DS publiceren voordat de sleutel bestaat is precies wat storingen veroorzaakt.

Het simpele pad (aanbevolen — Cloudflare):

1. Zorg in Cloudflare dat Cloudflare werkelijk uw DNS draait (uw nameservers wijzen naar Cloudflare).
2. Ga naar DNS → Settings → DNSSEC → Enable DNSSEC. Cloudflare genereert en beheert de sleutels voor u (dit maakt de DNSKEY-kant automatisch aan).
3. Cloudflare toont u de DS-recorddetails om bij uw registrar te publiceren.
4. Log in bij uw domeinregistrar (bijv. GoDaddy, Namecheap, OVH) en vind het DNSSEC-gedeelte. Plak de DS-waarden die Cloudflare u gaf.
5. Wacht 24–48 uur op volledige verspreiding. Uw site en e-mail blijven al die tijd werken.

Andere DNS-providers (AWS Route 53, uw webhost, enz.):

1. Zet in het configuratiescherm van uw DNS-provider DNSSEC / „onderteken deze zone” aan. Dit genereert de ondertekeningssleutels en publiceert de DNSKEY-records.
2. Kopieer het DS-record dat de provider produceert.
3. Voeg dat DS-record toe bij uw registrar onder zijn DNSSEC-instellingen.
4. Bevestig dat de registrar het aanvaardde en wacht op verspreiding.

Platformnotities:

• Cloudflare — één klik aanzetten, dan één DS plakken bij de registrar. Veruit de makkelijkste route.
• AWS Route 53 — zet DNSSEC-ondertekening aan op de hosted zone, voeg dan het DS-record toe bij de registrar van uw domein (is het domein bij Route 53 geregistreerd, dan kan AWS het voor u koppelen).
• Microsoft 365 / Google Workspace — deze draaien uw e-mail, doorgaans niet uw DNS-zone. DNSSEC zet u aan waar uw DNS-records werkelijk leven (vaak uw registrar, host of Cloudflare), niet in het 365-/Workspace-beheercentrum.
• Ondersteunt uw DNS-provider DNSSEC helemaal niet? Dat komt voor bij oudere of budgethosts. De schone oplossing is DNS-beheer te verhuizen naar een provider die het wel doet (Cloudflare is gratis), en dan het simpele pad hierboven te volgen. DNS verhuizen vereist niet uw website of e-mail te verhuizen.

Verifieer dat het werkte:

• Draai dig DS uwdomein.com en dig DNSKEY uwdomein.com — beide zouden records moeten teruggeven.
• Of gebruik een gratis online DNSSEC-checker en bevestig een groene/geldige vertrouwensketen.
• Beschouw het niet als klaar tot beide overeenkomende records teruggeven. Een DS zonder DNSKEY is de kapotte toestand — verhelp of verwijder die onmiddellijk.

Veelgemaakte fouten

• De DS publiceren voordat de sleutel bestaat. De meest schadelijke fout: het DS-record bij de registrar toevoegen voordat ondertekening werkelijk live is bij de DNS-provider. Dit creëert de „gepubliceerd zegel, ontbrekende sleutel”-toestand die uw domein onresolvebaar maakt voor DNSSEC-controlerende bezoekers. Zet altijd eerst ondertekening aan, publiceer dan DS.
• Een verouderde DS achterlaten na wisselen van provider. Migreert u van DNS-provider (of zet u ondertekening uit) maar vergeet u het oude DS-record bij de registrar te verwijderen of bij te werken, dan wijst u naar een sleutel die niet meer bestaat — dezelfde kapotte uitkomst. Wanneer u DNSSEC uitzet of verhuist, werk de DS bij de registrar in dezelfde wijziging bij.
• Stoppen na stap één. Ondertekening aanzetten bij de DNS-provider (de DNSKEY aanmaken) maar nooit de DS bij de registrar toevoegen. Alles oogt „aan” in het DNS-dashboard, maar zonder DS activeert de bescherming nooit. U deed het werk en kreeg er niets van.
• Aannemen dat HTTPS of e-mailauthenticatie het al dekt. Het hangslot en e-mailauthenticatie (SPF / DKIM / DMARC) zijn waardevol maar lossen andere problemen op. Geen ervan belet een vervalst DNS-antwoord bezoekers om te beginnen naar de verkeerde plek te sturen.
• Niet monitoren na aanzetten. Sleutels worden gerold, providers veranderen, records worden bewerkt. Een opzet die vandaag perfect is, kan maanden later stilletjes breken. Is DNSSEC belangrijk genoeg om aan te zetten, dan is het een periodieke controle waard of het nog geldig is.

Waar dit in uw cijfer zit

Beide checks tellen mee voor uw DNS-securityscore. De DS-recordcheck wordt behandeld als de hogere prioriteit van de twee: een ontbrekende DS is een echt gat en wordt gescoord als een falen. De DNSKEY-check bevestigt dat de rest van de keten intact is — hij slaagt alleen wanneer een overeenkomende DS én DNSKEY beide aanwezig zijn, en hij markeert de gevaarlijke „DS-zonder-sleutel”-kapotte toestand als hoge ernst. Een schoon „DNSSEC staat nog niet aan”-resultaat is het gangbare startpunt voor veel bedrijven; van daar naar een compleet, overeenkomend DS + DNSKEY-paar gaan is een gratis, goed begrepen upgrade die uw DNS-securitypositie verbetert en een echte route voor nabootsing en onderschepping wegneemt.

Stel het in bij je host

Stap voor stap voor populaire providers:

• DNSSEC instellen op GoDaddy
• DNSSEC instellen op Namecheap
• DNSSEC instellen op Cloudflare
• DNSSEC instellen op AWS Route 53

Veelgestelde vragen